Funções internas do Azure para Segurança
Este artigo lista as funções internas do Azure na categoria Segurança.
Administrador de automação de conformidade de aplicativos
Crie, leia, baixe, modifique e exclua objetos de relatórios e outros objetos de recursos relacionados.
| Ações | Description |
|---|---|
| Microsoft.AppComplianceAutomação/* | |
| Microsoft.Storage/storageAccounts/blobServices/write | Retorna o resultado das propriedades do serviço put blob |
| Microsoft.Storage/storageAccounts/fileservices/write | Colocar propriedades do serviço de arquivo |
| Microsoft.Storage/storageAccounts/listKeys/action | Retorna as chaves de acesso para a conta de armazenamento especificada. |
| Microsoft.Storage/storageAccounts/write | Cria uma conta de armazenamento com os parâmetros especificados ou atualiza as propriedades ou tags ou adiciona domínio personalizado para a conta de armazenamento especificada. |
| Microsoft.Storage/storageAccounts/blobServices/generateUserDelegationKey/action | Retorna uma chave de delegação de usuário para o serviço de blob |
| Microsoft.Storage/storageAccounts/read | Retorna a lista de contas de armazenamento ou obtém as propriedades da conta de armazenamento especificada. |
| Microsoft.Storage/storageAccounts/blobServices/containers/read | Devolve a lista de contentores |
| Microsoft.Storage/storageAccounts/blobServices/containers/write | Devolve o resultado do recipiente put blob |
| Microsoft.Storage/storageAccounts/blobServices/read | Retorna propriedades ou estatísticas do serviço de blob |
| Microsoft.PolicyInsights/policyStates/queryResults/action | Consultar informações sobre estados de política. |
| Microsoft.PolicyInsights/policyStates/triggerEvaluation/action | Aciona uma nova avaliação de conformidade para o escopo selecionado. |
| Microsoft.Resources/resources/read | Obtenha a lista de recursos com base em filtros. |
| Microsoft.Recursos/subscrições/leitura | Obtém a lista de assinaturas. |
| Microsoft.Resources/subscriptions/resourceGroups/read | Obtém ou lista grupos de recursos. |
| Microsoft.Resources/subscriptions/resourceGroups/resources/read | Obtém os recursos para o grupo de recursos. |
| Microsoft.Resources/subscriptions/resources/read | Obtém recursos de uma assinatura. |
| Microsoft.Resources/subscriptions/resourceGroups/delete | Exclui um grupo de recursos e todos os seus recursos. |
| Microsoft.Resources/subscriptions/resourceGroups/write | Cria ou atualiza um grupo de recursos. |
| Microsoft.Resources/tags/read | Obtém todas as tags em um recurso. |
| Microsoft.Resources/deployments/validate/action | Valida uma implantação. |
| Microsoft.Security/automações/leitura | Obtém as automações para o escopo |
| Microsoft.Resources/deployments/write | Cria ou atualiza uma implantação. |
| Microsoft.Security/automações/excluir | Exclui a automação do escopo |
| Microsoft.Security/automações/gravação | Cria ou atualiza a automação para o escopo |
| Microsoft.Security/register/action | Regista a subscrição do Centro de Segurança do Azure |
| Microsoft.Security/unregister/action | Cancela o registro da assinatura da Central de Segurança do Azure |
| */read | Ler recursos de todos os tipos, exceto segredos. |
| NotActions | |
| nenhum | |
| DataActions | |
| nenhum | |
| NotDataActions | |
| nenhum |
{
"assignableScopes": [
"/"
],
"description": "Create, read, download, modify and delete reports objects and related other resource objects.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/0f37683f-2463-46b6-9ce7-9b788b988ba2",
"name": "0f37683f-2463-46b6-9ce7-9b788b988ba2",
"permissions": [
{
"actions": [
"Microsoft.AppComplianceAutomation/*",
"Microsoft.Storage/storageAccounts/blobServices/write",
"Microsoft.Storage/storageAccounts/fileservices/write",
"Microsoft.Storage/storageAccounts/listKeys/action",
"Microsoft.Storage/storageAccounts/write",
"Microsoft.Storage/storageAccounts/blobServices/generateUserDelegationKey/action",
"Microsoft.Storage/storageAccounts/read",
"Microsoft.Storage/storageAccounts/blobServices/containers/read",
"Microsoft.Storage/storageAccounts/blobServices/containers/write",
"Microsoft.Storage/storageAccounts/blobServices/read",
"Microsoft.PolicyInsights/policyStates/queryResults/action",
"Microsoft.PolicyInsights/policyStates/triggerEvaluation/action",
"Microsoft.Resources/resources/read",
"Microsoft.Resources/subscriptions/read",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Resources/subscriptions/resourceGroups/resources/read",
"Microsoft.Resources/subscriptions/resources/read",
"Microsoft.Resources/subscriptions/resourceGroups/delete",
"Microsoft.Resources/subscriptions/resourceGroups/write",
"Microsoft.Resources/tags/read",
"Microsoft.Resources/deployments/validate/action",
"Microsoft.Security/automations/read",
"Microsoft.Resources/deployments/write",
"Microsoft.Security/automations/delete",
"Microsoft.Security/automations/write",
"Microsoft.Security/register/action",
"Microsoft.Security/unregister/action",
"*/read"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "App Compliance Automation Administrator",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Leitor de automação de conformidade de aplicativos
Leia, baixe os objetos de relatórios e outros objetos de recursos relacionados.
| Ações | Descrição |
|---|---|
| */read | Ler recursos de todos os tipos, exceto segredos. |
| NotActions | |
| nenhum | |
| DataActions | |
| nenhum | |
| NotDataActions | |
| nenhum |
{
"assignableScopes": [
"/"
],
"description": "Read, download the reports objects and related other resource objects.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/ffc6bbe0-e443-4c3b-bf54-26581bb2f78e",
"name": "ffc6bbe0-e443-4c3b-bf54-26581bb2f78e",
"permissions": [
{
"actions": [
"*/read"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "App Compliance Automation Reader",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Atestado Colaborador
Pode ler, gravar ou excluir a instância do provedor de atestado
| Ações | Description |
|---|---|
| Microsoft.Attestation/attestationProviders/attestation/read | Obtém o status do serviço de atestado. |
| Microsoft.Attestation/attestationProviders/attestation/write | Adiciona serviço de atestado. |
| Microsoft.Attestation/attestationProviders/attestation/delete | Remove o serviço de atestado. |
| NotActions | |
| nenhum | |
| DataActions | |
| nenhum | |
| NotDataActions | |
| nenhum |
{
"assignableScopes": [
"/"
],
"description": "Can read write or delete the attestation provider instance",
"id": "/providers/Microsoft.Authorization/roleDefinitions/bbf86eb8-f7b4-4cce-96e4-18cddf81d86e",
"name": "bbf86eb8-f7b4-4cce-96e4-18cddf81d86e",
"permissions": [
{
"actions": [
"Microsoft.Attestation/attestationProviders/attestation/read",
"Microsoft.Attestation/attestationProviders/attestation/write",
"Microsoft.Attestation/attestationProviders/attestation/delete"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Attestation Contributor",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Leitor de Atestado
Pode ler as propriedades do provedor de atestado
| Ações | Description |
|---|---|
| Microsoft.Attestation/attestationProviders/attestation/read | Obtém o status do serviço de atestado. |
| Microsoft.Attestation/attestationProviders/read | Obtém o status do serviço de atestado. |
| NotActions | |
| nenhum | |
| DataActions | |
| nenhum | |
| NotDataActions | |
| nenhum |
{
"assignableScopes": [
"/"
],
"description": "Can read the attestation provider properties",
"id": "/providers/Microsoft.Authorization/roleDefinitions/fd1bd22b-8476-40bc-a0bc-69b95687b9f3",
"name": "fd1bd22b-8476-40bc-a0bc-69b95687b9f3",
"permissions": [
{
"actions": [
"Microsoft.Attestation/attestationProviders/attestation/read",
"Microsoft.Attestation/attestationProviders/read"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Attestation Reader",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Administrador do Cofre de Chaves
Execute todas as operações do plano de dados em um cofre de chaves e todos os objetos nele, incluindo certificados, chaves e segredos. Não é possível gerenciar recursos do cofre de chaves ou gerenciar atribuições de função. Só funciona para cofres de chaves que usam o modelo de permissão 'Controle de acesso baseado em função do Azure'.
| Ações | Descrição |
|---|---|
| Microsoft.Authorization/*/read | Ler funções e atribuições de funções |
| Microsoft.Insights/alertRules/* | Criar e gerenciar um alerta de métrica clássica |
| Microsoft.Recursos/implantações/* | Criar e gerenciar uma implantação |
| Microsoft.Resources/subscriptions/resourceGroups/read | Obtém ou lista grupos de recursos. |
| Microsoft.Suporte/* | Criar e atualizar um ticket de suporte |
| Microsoft.KeyVault/checkNameAvailability/read | Verifica se um nome de cofre de chaves é válido e não está em uso |
| Microsoft.KeyVault/deletedVaults/read | Ver as propriedades dos cofres de chaves eliminados suavemente |
| Microsoft.KeyVault/locations/*/read | |
| Microsoft.KeyVault/vaults/*/read | |
| Microsoft.KeyVault/operations/read | Lista as operações disponíveis no provedor de recursos Microsoft.KeyVault |
| NotActions | |
| nenhum | |
| DataActions | |
| Microsoft.KeyVault/cofres/* | |
| NotDataActions | |
| nenhum |
{
"assignableScopes": [
"/"
],
"description": "Perform all data plane operations on a key vault and all objects in it, including certificates, keys, and secrets. Cannot manage key vault resources or manage role assignments. Only works for key vaults that use the 'Azure role-based access control' permission model.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/00482a5a-887f-4fb3-b363-3b7fe8e74483",
"name": "00482a5a-887f-4fb3-b363-3b7fe8e74483",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Insights/alertRules/*",
"Microsoft.Resources/deployments/*",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Support/*",
"Microsoft.KeyVault/checkNameAvailability/read",
"Microsoft.KeyVault/deletedVaults/read",
"Microsoft.KeyVault/locations/*/read",
"Microsoft.KeyVault/vaults/*/read",
"Microsoft.KeyVault/operations/read"
],
"notActions": [],
"dataActions": [
"Microsoft.KeyVault/vaults/*"
],
"notDataActions": []
}
],
"roleName": "Key Vault Administrator",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Usuário do certificado do Key Vault
Leia o conteúdo do certificado. Só funciona para cofres de chaves que usam o modelo de permissão 'Controle de acesso baseado em função do Azure'.
| Ações | Description |
|---|---|
| nenhum | |
| NotActions | |
| nenhum | |
| DataActions | |
| Microsoft.KeyVault/vaults/certificados/leitura | Liste certificados em um cofre de chaves especificado ou obtenha informações sobre um certificado. |
| Microsoft.KeyVault/vaults/secrets/getSecret/action | Obtém o valor de um segredo. |
| Microsoft.KeyVault/vaults/secrets/readMetadata/action | Listar ou exibir as propriedades de um segredo, mas não seu valor. |
| Microsoft.KeyVault/vaults/chaves/leitura | Liste chaves no cofre especificado ou leia as propriedades e o material público de uma chave. Para chaves assimétricas, essa operação expõe a chave pública e inclui a capacidade de executar algoritmos de chave pública, como criptografar e verificar assinatura. As chaves privadas e as chaves simétricas nunca são expostas. |
| NotDataActions | |
| nenhum |
{
"assignableScopes": [
"/"
],
"description": "Read certificate contents. Only works for key vaults that use the 'Azure role-based access control' permission model.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/db79e9a7-68ee-4b58-9aeb-b90e7c24fcba",
"name": "db79e9a7-68ee-4b58-9aeb-b90e7c24fcba",
"permissions": [
{
"actions": [],
"notActions": [],
"dataActions": [
"Microsoft.KeyVault/vaults/certificates/read",
"Microsoft.KeyVault/vaults/secrets/getSecret/action",
"Microsoft.KeyVault/vaults/secrets/readMetadata/action",
"Microsoft.KeyVault/vaults/keys/read"
],
"notDataActions": []
}
],
"roleName": "Key Vault Certificate User",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Oficial de Certificados do Cofre de Chaves
Execute qualquer ação nos certificados de um cofre de chaves, exceto gerenciar permissões. Só funciona para cofres de chaves que usam o modelo de permissão 'Controle de acesso baseado em função do Azure'.
| Ações | Descrição |
|---|---|
| Microsoft.Authorization/*/read | Ler funções e atribuições de funções |
| Microsoft.Insights/alertRules/* | Criar e gerenciar um alerta de métrica clássica |
| Microsoft.Recursos/implantações/* | Criar e gerenciar uma implantação |
| Microsoft.Resources/subscriptions/resourceGroups/read | Obtém ou lista grupos de recursos. |
| Microsoft.Suporte/* | Criar e atualizar um ticket de suporte |
| Microsoft.KeyVault/checkNameAvailability/read | Verifica se um nome de cofre de chaves é válido e não está em uso |
| Microsoft.KeyVault/deletedVaults/read | Ver as propriedades dos cofres de chaves eliminados suavemente |
| Microsoft.KeyVault/locations/*/read | |
| Microsoft.KeyVault/vaults/*/read | |
| Microsoft.KeyVault/operations/read | Lista as operações disponíveis no provedor de recursos Microsoft.KeyVault |
| NotActions | |
| nenhum | |
| DataActions | |
| Microsoft.KeyVault/cofres/certificados/* | |
| Microsoft.KeyVault/cofres/certificados/* | |
| Microsoft.KeyVault/vaults/certificatecontacts/write | Gerenciar contato de certificado |
| NotDataActions | |
| nenhum |
{
"assignableScopes": [
"/"
],
"description": "Perform any action on the certificates of a key vault, except manage permissions. Only works for key vaults that use the 'Azure role-based access control' permission model.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/a4417e6f-fecd-4de8-b567-7b0420556985",
"name": "a4417e6f-fecd-4de8-b567-7b0420556985",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Insights/alertRules/*",
"Microsoft.Resources/deployments/*",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Support/*",
"Microsoft.KeyVault/checkNameAvailability/read",
"Microsoft.KeyVault/deletedVaults/read",
"Microsoft.KeyVault/locations/*/read",
"Microsoft.KeyVault/vaults/*/read",
"Microsoft.KeyVault/operations/read"
],
"notActions": [],
"dataActions": [
"Microsoft.KeyVault/vaults/certificatecas/*",
"Microsoft.KeyVault/vaults/certificates/*",
"Microsoft.KeyVault/vaults/certificatecontacts/write"
],
"notDataActions": []
}
],
"roleName": "Key Vault Certificates Officer",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Contribuidor do Key Vault
Gerencie cofres de chaves, mas não permite que você atribua funções no RBAC do Azure e não permite que você acesse segredos, chaves ou certificados.
Importante
Ao usar o modelo de permissão de Política de Acesso, um usuário com o ContributorKey Vault Contributor, ou qualquer outra função que inclua Microsoft.KeyVault/vaults/write permissões para o plano de gerenciamento do Cofre de Chaves pode conceder a si mesmo acesso ao plano de dados definindo uma política de acesso ao Cofre de Chaves. Para impedir o acesso não autorizado e o gerenciamento de seus cofres de chaves, chaves, segredos e certificados, é essencial limitar o acesso da função de Colaborador aos cofres de chaves no modelo de permissão da Política de Acesso. Para reduzir esse risco, recomendamos que você use o modelo de permissão RBAC (Controle de Acesso Baseado em Função), que restringe o gerenciamento de permissões às funções 'Proprietário' e 'Administrador de Acesso de Usuário', permitindo uma separação clara entre operações de segurança e tarefas administrativas. Consulte o Guia RBAC do Cofre de Chaves e O que é o Azure RBAC? para obter mais informações.
| Ações | Descrição |
|---|---|
| Microsoft.Authorization/*/read | Ler funções e atribuições de funções |
| Microsoft.Insights/alertRules/* | Criar e gerenciar um alerta de métrica clássica |
| Microsoft.KeyVault/* | |
| Microsoft.Recursos/implantações/* | Criar e gerenciar uma implantação |
| Microsoft.Resources/subscriptions/resourceGroups/read | Obtém ou lista grupos de recursos. |
| Microsoft.Suporte/* | Criar e atualizar um ticket de suporte |
| NotActions | |
| Microsoft.KeyVault/locations/deletedVaults/purge/action | Limpar um cofre de chaves apagado suavemente |
| Microsoft.KeyVault/hsmPools/* | |
| Microsoft.KeyVault/managedHsms/* | |
| DataActions | |
| nenhum | |
| NotDataActions | |
| nenhum |
{
"assignableScopes": [
"/"
],
"description": "Lets you manage key vaults, but not access to them.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/f25e0fa2-a7c8-4377-a976-54943a77a395",
"name": "f25e0fa2-a7c8-4377-a976-54943a77a395",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Insights/alertRules/*",
"Microsoft.KeyVault/*",
"Microsoft.Resources/deployments/*",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Support/*"
],
"notActions": [
"Microsoft.KeyVault/locations/deletedVaults/purge/action",
"Microsoft.KeyVault/hsmPools/*",
"Microsoft.KeyVault/managedHsms/*"
],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Key Vault Contributor",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Responsável pela criptografia do Key Vault
Execute qualquer ação nas chaves de um cofre de chaves, exceto gerenciar permissões. Só funciona para cofres de chaves que usam o modelo de permissão 'Controle de acesso baseado em função do Azure'.
| Ações | Descrição |
|---|---|
| Microsoft.Authorization/*/read | Ler funções e atribuições de funções |
| Microsoft.Insights/alertRules/* | Criar e gerenciar um alerta de métrica clássica |
| Microsoft.Recursos/implantações/* | Criar e gerenciar uma implantação |
| Microsoft.Resources/subscriptions/resourceGroups/read | Obtém ou lista grupos de recursos. |
| Microsoft.Suporte/* | Criar e atualizar um ticket de suporte |
| Microsoft.KeyVault/checkNameAvailability/read | Verifica se um nome de cofre de chaves é válido e não está em uso |
| Microsoft.KeyVault/deletedVaults/read | Ver as propriedades dos cofres de chaves eliminados suavemente |
| Microsoft.KeyVault/locations/*/read | |
| Microsoft.KeyVault/vaults/*/read | |
| Microsoft.KeyVault/operations/read | Lista as operações disponíveis no provedor de recursos Microsoft.KeyVault |
| NotActions | |
| nenhum | |
| DataActions | |
| Microsoft.KeyVault/cofres/chaves/* | |
| Microsoft.KeyVault/vaults/keyrotationpolicies/* | |
| NotDataActions | |
| nenhum |
{
"assignableScopes": [
"/"
],
"description": "Perform any action on the keys of a key vault, except manage permissions. Only works for key vaults that use the 'Azure role-based access control' permission model.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/14b46e9e-c2b7-41b4-b07b-48a6ebf60603",
"name": "14b46e9e-c2b7-41b4-b07b-48a6ebf60603",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Insights/alertRules/*",
"Microsoft.Resources/deployments/*",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Support/*",
"Microsoft.KeyVault/checkNameAvailability/read",
"Microsoft.KeyVault/deletedVaults/read",
"Microsoft.KeyVault/locations/*/read",
"Microsoft.KeyVault/vaults/*/read",
"Microsoft.KeyVault/operations/read"
],
"notActions": [],
"dataActions": [
"Microsoft.KeyVault/vaults/keys/*",
"Microsoft.KeyVault/vaults/keyrotationpolicies/*"
],
"notDataActions": []
}
],
"roleName": "Key Vault Crypto Officer",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Usuário de criptografia do Key Vault Crypto Service
Leia metadados de chaves e execute operações de encapsulamento/desempacotamento. Só funciona para cofres de chaves que usam o modelo de permissão 'Controle de acesso baseado em função do Azure'.
| Ações | Description |
|---|---|
| Microsoft.EventGrid/eventSubscriptions/write | Criar ou atualizar um eventoSubscrição |
| Microsoft.EventGrid/eventSubscriptions/read | Ler um eventoSubscrição |
| Microsoft.EventGrid/eventSubscriptions/delete | Excluir um eventSubscription |
| NotActions | |
| nenhum | |
| DataActions | |
| Microsoft.KeyVault/vaults/chaves/leitura | Liste chaves no cofre especificado ou leia as propriedades e o material público de uma chave. Para chaves assimétricas, essa operação expõe a chave pública e inclui a capacidade de executar algoritmos de chave pública, como criptografar e verificar assinatura. As chaves privadas e as chaves simétricas nunca são expostas. |
| Microsoft.KeyVault/vaults/keys/wrap/action | Envolve uma chave simétrica com uma chave do Cofre da Chave. Observe que, se a chave do Cofre da Chave for assimétrica, essa operação poderá ser executada por entidades com acesso de leitura. |
| Microsoft.KeyVault/vaults/keys/unwrap/action | Desembrulha uma chave simétrica com uma chave do Cofre da Chave. |
| NotDataActions | |
| nenhum |
{
"assignableScopes": [
"/"
],
"description": "Read metadata of keys and perform wrap/unwrap operations. Only works for key vaults that use the 'Azure role-based access control' permission model.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/e147488a-f6f5-4113-8e2d-b22465e65bf6",
"name": "e147488a-f6f5-4113-8e2d-b22465e65bf6",
"permissions": [
{
"actions": [
"Microsoft.EventGrid/eventSubscriptions/write",
"Microsoft.EventGrid/eventSubscriptions/read",
"Microsoft.EventGrid/eventSubscriptions/delete"
],
"notActions": [],
"dataActions": [
"Microsoft.KeyVault/vaults/keys/read",
"Microsoft.KeyVault/vaults/keys/wrap/action",
"Microsoft.KeyVault/vaults/keys/unwrap/action"
],
"notDataActions": []
}
],
"roleName": "Key Vault Crypto Service Encryption User",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Usuário do Key Vault Crypto Service Release
Teclas de liberação. Só funciona para cofres de chaves que usam o modelo de permissão 'Controle de acesso baseado em função do Azure'.
| Ações | Description |
|---|---|
| nenhum | |
| NotActions | |
| nenhum | |
| DataActions | |
| Microsoft.KeyVault/vaults/keys/release/action | Solte uma chave usando a parte pública do KEK do token de atestado. |
| NotDataActions | |
| nenhum |
{
"assignableScopes": [
"/"
],
"description": "Release keys. Only works for key vaults that use the 'Azure role-based access control' permission model.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/08bbd89e-9f13-488c-ac41-acfcb10c90ab",
"name": "08bbd89e-9f13-488c-ac41-acfcb10c90ab",
"permissions": [
{
"actions": [],
"notActions": [],
"dataActions": [
"Microsoft.KeyVault/vaults/keys/release/action"
],
"notDataActions": []
}
],
"roleName": "Key Vault Crypto Service Release User",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Key Vault Crypto Usuário
Execute operações criptográficas usando chaves. Só funciona para cofres de chaves que usam o modelo de permissão 'Controle de acesso baseado em função do Azure'.
| Ações | Description |
|---|---|
| nenhum | |
| NotActions | |
| nenhum | |
| DataActions | |
| Microsoft.KeyVault/vaults/chaves/leitura | Liste chaves no cofre especificado ou leia as propriedades e o material público de uma chave. Para chaves assimétricas, essa operação expõe a chave pública e inclui a capacidade de executar algoritmos de chave pública, como criptografar e verificar assinatura. As chaves privadas e as chaves simétricas nunca são expostas. |
| Microsoft.KeyVault/vaults/keys/update/action | Atualiza os atributos especificados associados à chave fornecida. |
| Microsoft.KeyVault/vaults/chaves/backup/ação | Cria o arquivo de backup de uma chave. O arquivo pode ser usado para restaurar a chave em um Cofre de Chaves da mesma assinatura. Podem aplicar-se restrições. |
| Microsoft.KeyVault/vaults/keys/criptografar/ação | Criptografa texto sem formatação com uma chave. Observe que, se a chave for assimétrica, essa operação pode ser executada por entidades com acesso de leitura. |
| Microsoft.KeyVault/vaults/keys/decrypt/action | Desencripta texto cifrado com uma chave. |
| Microsoft.KeyVault/vaults/keys/wrap/action | Envolve uma chave simétrica com uma chave do Cofre da Chave. Observe que, se a chave do Cofre da Chave for assimétrica, essa operação poderá ser executada por entidades com acesso de leitura. |
| Microsoft.KeyVault/vaults/keys/unwrap/action | Desembrulha uma chave simétrica com uma chave do Cofre da Chave. |
| Microsoft.KeyVault/vaults/chaves/sign/action | Assina um resumo de mensagens (hash) com uma chave. |
| Microsoft.KeyVault/vaults/keys/verify/action | Verifica a assinatura de um resumo de mensagens (hash) com uma chave. Observe que, se a chave for assimétrica, essa operação pode ser executada por entidades com acesso de leitura. |
| NotDataActions | |
| nenhum |
{
"assignableScopes": [
"/"
],
"description": "Perform cryptographic operations using keys. Only works for key vaults that use the 'Azure role-based access control' permission model.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/12338af0-0e69-4776-bea7-57ae8d297424",
"name": "12338af0-0e69-4776-bea7-57ae8d297424",
"permissions": [
{
"actions": [],
"notActions": [],
"dataActions": [
"Microsoft.KeyVault/vaults/keys/read",
"Microsoft.KeyVault/vaults/keys/update/action",
"Microsoft.KeyVault/vaults/keys/backup/action",
"Microsoft.KeyVault/vaults/keys/encrypt/action",
"Microsoft.KeyVault/vaults/keys/decrypt/action",
"Microsoft.KeyVault/vaults/keys/wrap/action",
"Microsoft.KeyVault/vaults/keys/unwrap/action",
"Microsoft.KeyVault/vaults/keys/sign/action",
"Microsoft.KeyVault/vaults/keys/verify/action"
],
"notDataActions": []
}
],
"roleName": "Key Vault Crypto User",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Administrador de Acesso a Dados do Key Vault
Gerencie o acesso ao Cofre de Chaves do Azure adicionando ou removendo atribuições de função para as funções de Administrador do Cofre de Chaves, Oficial de Certificados do Cofre de Chaves, Oficial de Criptografia do Cofre de Chaves, Usuário de Criptografia do Serviço de Criptografia do Cofre de Chaves, Usuário de Criptografia do Cofre de Chaves, Leitor de Cofre de Chaves, Oficial de Segredos do Cofre de Chaves ou Usuário de Segredos do Cofre de Chaves. Inclui uma condição ABAC para restringir atribuições de função.
| Ações | Description |
|---|---|
| Microsoft.Authorization/roleAssignments/write | Crie uma atribuição de função no escopo especificado. |
| Microsoft.Authorization/roleAssignments/delete | Exclua uma atribuição de função no escopo especificado. |
| Microsoft.Authorization/*/read | Ler funções e atribuições de funções |
| Microsoft.Recursos/implantações/* | Criar e gerenciar uma implantação |
| Microsoft.Resources/subscriptions/resourceGroups/read | Obtém ou lista grupos de recursos. |
| Microsoft.Recursos/subscrições/leitura | Obtém a lista de assinaturas. |
| Microsoft.Management/managementGroups/read | Listar grupos de gerenciamento para o usuário autenticado. |
| Microsoft.Recursos/implantações/* | Criar e gerenciar uma implantação |
| Microsoft.Suporte/* | Criar e atualizar um ticket de suporte |
| Microsoft.KeyVault/vaults/*/read | |
| NotActions | |
| nenhum | |
| DataActions | |
| nenhum | |
| NotDataActions | |
| nenhum | |
| Condition | |
| ((! (ActionMatches{'Microsoft.Authorization/roleAssignments/write'})) OU (@Request[Microsoft.Authorization/roleAssignments:RoleDefinitionId] ForAnyOfAnyValues:GuidEquals{00482a5a-887f-4fb3-b363-3b7fe8e74483, a4417e6f-fecd-4de8-b567-7b0420556985, 14b46e9e-c2b7-41b4-b07b-48a6ebf60603, e147488a-f6f5-4113-8e2d-b22465e65bff 6, 12338af0-0e69-4776-bea7-57ae8d297424, 21090545-7ca7-4776-b22c-e363652d74d2, b86a8fe4-44ce-4948-aee5-eccb2c155cd7, 4633458b-17de-408a-b874-0445c86b69e6})) E ((!), ( ActionMatches{'Microsoft.Authorization/roleAssignments/delete'})) OU (@Resource[Microsoft.Authorization/roleAssignments:RoleDefinitionId] ForAnyOfAnyValues:GuidEquals{00482a5a-887f-4fb3-b363-3b7fe8e74483, a4417e6f-fecd-4de8-b567-7b0420556985, 14b46e9e-c2b7-41b4-b07b-48a6ebf60603, e147488a-f6f5-4113-8e2d-b22465e65bf6, 12338af0-0e69-4776-bea7-57ae8d297424, 21090545-7ca7-4776-b22c-e363652d74d2, b86a8fe4-44ce-4948-aee5-eccb2c155cd7, 4633458b-17de-408a-b874-0445c86b69e6})) | Adicione ou remova atribuições de função para as seguintes funções: Administrador do Cofre de Chaves Oficial de Certificados do Cofre de Chaves Responsável pela criptografia do Key Vault Usuário de criptografia do Key Vault Crypto Service Key Vault Crypto Usuário Leitor Key Vault Oficial de Segredos do Cofre de Chaves Usuário do Key Vault Secrets |
{
"assignableScopes": [
"/"
],
"description": "Manage access to Azure Key Vault by adding or removing role assignments for the Key Vault Administrator, Key Vault Certificates Officer, Key Vault Crypto Officer, Key Vault Crypto Service Encryption User, Key Vault Crypto User, Key Vault Reader, Key Vault Secrets Officer, or Key Vault Secrets User roles. Includes an ABAC condition to constrain role assignments.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/8b54135c-b56d-4d72-a534-26097cfdc8d8",
"name": "8b54135c-b56d-4d72-a534-26097cfdc8d8",
"permissions": [
{
"actions": [
"Microsoft.Authorization/roleAssignments/write",
"Microsoft.Authorization/roleAssignments/delete",
"Microsoft.Authorization/*/read",
"Microsoft.Resources/deployments/*",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Resources/subscriptions/read",
"Microsoft.Management/managementGroups/read",
"Microsoft.Resources/deployments/*",
"Microsoft.Support/*",
"Microsoft.KeyVault/vaults/*/read"
],
"notActions": [],
"dataActions": [],
"notDataActions": [],
"conditionVersion": "2.0",
"condition": "((!(ActionMatches{'Microsoft.Authorization/roleAssignments/write'})) OR (@Request[Microsoft.Authorization/roleAssignments:RoleDefinitionId] ForAnyOfAnyValues:GuidEquals{00482a5a-887f-4fb3-b363-3b7fe8e74483, a4417e6f-fecd-4de8-b567-7b0420556985, 14b46e9e-c2b7-41b4-b07b-48a6ebf60603, e147488a-f6f5-4113-8e2d-b22465e65bf6, 12338af0-0e69-4776-bea7-57ae8d297424, 21090545-7ca7-4776-b22c-e363652d74d2, b86a8fe4-44ce-4948-aee5-eccb2c155cd7, 4633458b-17de-408a-b874-0445c86b69e6})) AND ((!(ActionMatches{'Microsoft.Authorization/roleAssignments/delete'})) OR (@Resource[Microsoft.Authorization/roleAssignments:RoleDefinitionId] ForAnyOfAnyValues:GuidEquals{00482a5a-887f-4fb3-b363-3b7fe8e74483, a4417e6f-fecd-4de8-b567-7b0420556985, 14b46e9e-c2b7-41b4-b07b-48a6ebf60603, e147488a-f6f5-4113-8e2d-b22465e65bf6, 12338af0-0e69-4776-bea7-57ae8d297424, 21090545-7ca7-4776-b22c-e363652d74d2, b86a8fe4-44ce-4948-aee5-eccb2c155cd7, 4633458b-17de-408a-b874-0445c86b69e6}))"
}
],
"roleName": "Key Vault Data Access Administrator",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Leitor Key Vault
Leia metadados de cofres de chaves e seus certificados, chaves e segredos. Não é possível ler valores confidenciais, como conteúdo secreto ou material de chave. Só funciona para cofres de chaves que usam o modelo de permissão 'Controle de acesso baseado em função do Azure'.
| Ações | Descrição |
|---|---|
| Microsoft.Authorization/*/read | Ler funções e atribuições de funções |
| Microsoft.Insights/alertRules/* | Criar e gerenciar um alerta de métrica clássica |
| Microsoft.Recursos/implantações/* | Criar e gerenciar uma implantação |
| Microsoft.Resources/subscriptions/resourceGroups/read | Obtém ou lista grupos de recursos. |
| Microsoft.Suporte/* | Criar e atualizar um ticket de suporte |
| Microsoft.KeyVault/checkNameAvailability/read | Verifica se um nome de cofre de chaves é válido e não está em uso |
| Microsoft.KeyVault/deletedVaults/read | Ver as propriedades dos cofres de chaves eliminados suavemente |
| Microsoft.KeyVault/locations/*/read | |
| Microsoft.KeyVault/vaults/*/read | |
| Microsoft.KeyVault/operations/read | Lista as operações disponíveis no provedor de recursos Microsoft.KeyVault |
| NotActions | |
| nenhum | |
| DataActions | |
| Microsoft.KeyVault/vaults/*/read | |
| Microsoft.KeyVault/vaults/secrets/readMetadata/action | Listar ou exibir as propriedades de um segredo, mas não seu valor. |
| NotDataActions | |
| nenhum |
{
"assignableScopes": [
"/"
],
"description": "Read metadata of key vaults and its certificates, keys, and secrets. Cannot read sensitive values such as secret contents or key material. Only works for key vaults that use the 'Azure role-based access control' permission model.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/21090545-7ca7-4776-b22c-e363652d74d2",
"name": "21090545-7ca7-4776-b22c-e363652d74d2",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Insights/alertRules/*",
"Microsoft.Resources/deployments/*",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Support/*",
"Microsoft.KeyVault/checkNameAvailability/read",
"Microsoft.KeyVault/deletedVaults/read",
"Microsoft.KeyVault/locations/*/read",
"Microsoft.KeyVault/vaults/*/read",
"Microsoft.KeyVault/operations/read"
],
"notActions": [],
"dataActions": [
"Microsoft.KeyVault/vaults/*/read",
"Microsoft.KeyVault/vaults/secrets/readMetadata/action"
],
"notDataActions": []
}
],
"roleName": "Key Vault Reader",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Oficial de Segredos do Cofre de Chaves
Execute qualquer ação nos segredos de um cofre de chaves, exceto gerenciar permissões. Só funciona para cofres de chaves que usam o modelo de permissão 'Controle de acesso baseado em função do Azure'.
| Ações | Descrição |
|---|---|
| Microsoft.Authorization/*/read | Ler funções e atribuições de funções |
| Microsoft.Insights/alertRules/* | Criar e gerenciar um alerta de métrica clássica |
| Microsoft.Recursos/implantações/* | Criar e gerenciar uma implantação |
| Microsoft.Resources/subscriptions/resourceGroups/read | Obtém ou lista grupos de recursos. |
| Microsoft.Suporte/* | Criar e atualizar um ticket de suporte |
| Microsoft.KeyVault/checkNameAvailability/read | Verifica se um nome de cofre de chaves é válido e não está em uso |
| Microsoft.KeyVault/deletedVaults/read | Ver as propriedades dos cofres de chaves eliminados suavemente |
| Microsoft.KeyVault/locations/*/read | |
| Microsoft.KeyVault/vaults/*/read | |
| Microsoft.KeyVault/operations/read | Lista as operações disponíveis no provedor de recursos Microsoft.KeyVault |
| NotActions | |
| nenhum | |
| DataActions | |
| Microsoft.KeyVault/cofres/segredos/* | |
| NotDataActions | |
| nenhum |
{
"assignableScopes": [
"/"
],
"description": "Perform any action on the secrets of a key vault, except manage permissions. Only works for key vaults that use the 'Azure role-based access control' permission model.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/b86a8fe4-44ce-4948-aee5-eccb2c155cd7",
"name": "b86a8fe4-44ce-4948-aee5-eccb2c155cd7",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Insights/alertRules/*",
"Microsoft.Resources/deployments/*",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Support/*",
"Microsoft.KeyVault/checkNameAvailability/read",
"Microsoft.KeyVault/deletedVaults/read",
"Microsoft.KeyVault/locations/*/read",
"Microsoft.KeyVault/vaults/*/read",
"Microsoft.KeyVault/operations/read"
],
"notActions": [],
"dataActions": [
"Microsoft.KeyVault/vaults/secrets/*"
],
"notDataActions": []
}
],
"roleName": "Key Vault Secrets Officer",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Usuário do Key Vault Secrets
Leia conteúdos secretos. Só funciona para cofres de chaves que usam o modelo de permissão 'Controle de acesso baseado em função do Azure'.
| Ações | Description |
|---|---|
| nenhum | |
| NotActions | |
| nenhum | |
| DataActions | |
| Microsoft.KeyVault/vaults/secrets/getSecret/action | Obtém o valor de um segredo. |
| Microsoft.KeyVault/vaults/secrets/readMetadata/action | Listar ou exibir as propriedades de um segredo, mas não seu valor. |
| NotDataActions | |
| nenhum |
{
"assignableScopes": [
"/"
],
"description": "Read secret contents. Only works for key vaults that use the 'Azure role-based access control' permission model.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/4633458b-17de-408a-b874-0445c86b69e6",
"name": "4633458b-17de-408a-b874-0445c86b69e6",
"permissions": [
{
"actions": [],
"notActions": [],
"dataActions": [
"Microsoft.KeyVault/vaults/secrets/getSecret/action",
"Microsoft.KeyVault/vaults/secrets/readMetadata/action"
],
"notDataActions": []
}
],
"roleName": "Key Vault Secrets User",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Contribuidor HSM gerenciado
Permite gerenciar pools de HSM gerenciados, mas não acessar a eles.
| Ações | Description |
|---|---|
| Microsoft.KeyVault/HSMs gerenciados/* | |
| Microsoft.KeyVault/deletedManagedHsms/read | Exibir as propriedades de um hsm gerenciado excluído |
| Microsoft.KeyVault/locations/deletedManagedHsms/read | Exibir as propriedades de um hsm gerenciado excluído |
| Microsoft.KeyVault/locations/deletedManagedHsms/purge/action | Limpar um hsm gerenciado excluído suavemente |
| Microsoft.KeyVault/locations/managedHsmOperationResults/read | Verifique o resultado de uma operação de longo prazo |
| NotActions | |
| nenhum | |
| DataActions | |
| nenhum | |
| NotDataActions | |
| nenhum |
{
"assignableScopes": [
"/"
],
"description": "Lets you manage managed HSM pools, but not access to them.",
"id": "/providers/Microsoft.Authorization/roleDefinitions/18500a29-7fe2-46b2-a342-b16a415e101d",
"name": "18500a29-7fe2-46b2-a342-b16a415e101d",
"permissions": [
{
"actions": [
"Microsoft.KeyVault/managedHSMs/*",
"Microsoft.KeyVault/deletedManagedHsms/read",
"Microsoft.KeyVault/locations/deletedManagedHsms/read",
"Microsoft.KeyVault/locations/deletedManagedHsms/purge/action",
"Microsoft.KeyVault/locations/managedHsmOperationResults/read"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Managed HSM contributor",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Colaborador do Microsoft Sentinel Automation
Colaborador do Microsoft Sentinel Automation
| Ações | Descrição |
|---|---|
| Microsoft.Authorization/*/read | Ler funções e atribuições de funções |
| Microsoft.Logic/workflows/triggers/read | Lê o gatilho. |
| Microsoft.Logic/workflows/triggers/listCallbackUrl/action | Obtém a URL de retorno de chamada para o gatilho. |
| Microsoft.Logic/workflows/runs/read | Lê a execução do fluxo de trabalho. |
| Microsoft.Web/sites/hostruntime/webhooks/api/workflows/triggers/read | Listar gatilhos de fluxo de trabalho do Host Runtime de aplicativos Web. |
| Microsoft.Web/sites/hostruntime/webhooks/api/workflows/triggers/listCallbackUrl/action | Obtenha o Uri de Gatilho de Fluxo de Trabalho do Host Runtime de Aplicativos Web. |
| Microsoft.Web/sites/hostruntime/webhooks/api/workflows/runs/read | Listar aplicativos Web Hostruntime Workflow é executado. |
| NotActions | |
| nenhum | |
| DataActions | |
| nenhum | |
| NotDataActions | |
| nenhum |
{
"assignableScopes": [
"/"
],
"description": "Microsoft Sentinel Automation Contributor",
"id": "/providers/Microsoft.Authorization/roleDefinitions/f4c81013-99ee-4d62-a7ee-b3f1f648599a",
"name": "f4c81013-99ee-4d62-a7ee-b3f1f648599a",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Logic/workflows/triggers/read",
"Microsoft.Logic/workflows/triggers/listCallbackUrl/action",
"Microsoft.Logic/workflows/runs/read",
"Microsoft.Web/sites/hostruntime/webhooks/api/workflows/triggers/read",
"Microsoft.Web/sites/hostruntime/webhooks/api/workflows/triggers/listCallbackUrl/action",
"Microsoft.Web/sites/hostruntime/webhooks/api/workflows/runs/read"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Microsoft Sentinel Automation Contributor",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Contribuidor do Microsoft Sentinel
Contribuidor do Microsoft Sentinel
| Ações | Description |
|---|---|
| Microsoft.SecurityInsights/* | |
| Microsoft.OperationalInsights/workspaces/analytics/query/action | Pesquise usando um novo mecanismo. |
| Microsoft.OperationalInsights/workspaces/*/read | Exibir dados de análise de log |
| Microsoft.OperationalInsights/workspaces/savedSearches/* | |
| Microsoft.OperationsManagement/solutions/read | Obtenha a solução OMS existente |
| Microsoft.OperationalInsights/workspaces/query/read | Executar consultas sobre os dados no espaço de trabalho |
| Microsoft.OperationalInsights/workspaces/query/*/read | |
| Microsoft.OperationalInsights/workspaces/dataSources/read | Obtenha a fonte de dados em um espaço de trabalho. |
| Microsoft.OperationalInsights/querypacks/*/read | |
| Microsoft.Insights/pastas de trabalho/* | |
| Microsoft.Insights/myworkbooks/read | |
| Microsoft.Authorization/*/read | Ler funções e atribuições de funções |
| Microsoft.Insights/alertRules/* | Criar e gerenciar um alerta de métrica clássica |
| Microsoft.Recursos/implantações/* | Criar e gerenciar uma implantação |
| Microsoft.Resources/subscriptions/resourceGroups/read | Obtém ou lista grupos de recursos. |
| Microsoft.Suporte/* | Criar e atualizar um ticket de suporte |
| NotActions | |
| Microsoft.SecurityInsights/ConfidentialWatchlists/* | |
| Microsoft.OperationalInsights/workspaces/query/ConfidentialWatchlist/* | |
| DataActions | |
| nenhum | |
| NotDataActions | |
| nenhum |
{
"assignableScopes": [
"/"
],
"description": "Microsoft Sentinel Contributor",
"id": "/providers/Microsoft.Authorization/roleDefinitions/ab8e14d6-4a74-4a29-9ba8-549422addade",
"name": "ab8e14d6-4a74-4a29-9ba8-549422addade",
"permissions": [
{
"actions": [
"Microsoft.SecurityInsights/*",
"Microsoft.OperationalInsights/workspaces/analytics/query/action",
"Microsoft.OperationalInsights/workspaces/*/read",
"Microsoft.OperationalInsights/workspaces/savedSearches/*",
"Microsoft.OperationsManagement/solutions/read",
"Microsoft.OperationalInsights/workspaces/query/read",
"Microsoft.OperationalInsights/workspaces/query/*/read",
"Microsoft.OperationalInsights/workspaces/dataSources/read",
"Microsoft.OperationalInsights/querypacks/*/read",
"Microsoft.Insights/workbooks/*",
"Microsoft.Insights/myworkbooks/read",
"Microsoft.Authorization/*/read",
"Microsoft.Insights/alertRules/*",
"Microsoft.Resources/deployments/*",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Support/*"
],
"notActions": [
"Microsoft.SecurityInsights/ConfidentialWatchlists/*",
"Microsoft.OperationalInsights/workspaces/query/ConfidentialWatchlist/*"
],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Microsoft Sentinel Contributor",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Operador do Microsoft Sentinel Playbook
Operador do Microsoft Sentinel Playbook
| Ações | Description |
|---|---|
| Microsoft.Logic/fluxos de trabalho/leitura | Lê o fluxo de trabalho. |
| Microsoft.Logic/workflows/triggers/listCallbackUrl/action | Obtém a URL de retorno de chamada para o gatilho. |
| Microsoft.Web/sites/hostruntime/webhooks/api/workflows/triggers/listCallbackUrl/action | Obtenha o Uri de Gatilho de Fluxo de Trabalho do Host Runtime de Aplicativos Web. |
| Microsoft.Web/sites/leitura | Obter as propriedades de um aplicativo Web |
| NotActions | |
| nenhum | |
| DataActions | |
| nenhum | |
| NotDataActions | |
| nenhum |
{
"assignableScopes": [
"/"
],
"description": "Microsoft Sentinel Playbook Operator",
"id": "/providers/Microsoft.Authorization/roleDefinitions/51d6186e-6489-4900-b93f-92e23144cca5",
"name": "51d6186e-6489-4900-b93f-92e23144cca5",
"permissions": [
{
"actions": [
"Microsoft.Logic/workflows/read",
"Microsoft.Logic/workflows/triggers/listCallbackUrl/action",
"Microsoft.Web/sites/hostruntime/webhooks/api/workflows/triggers/listCallbackUrl/action",
"Microsoft.Web/sites/read"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Microsoft Sentinel Playbook Operator",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Leitor do Microsoft Sentinel
Leitor do Microsoft Sentinel
| Ações | Description |
|---|---|
| Microsoft.SecurityInsights/*/read | |
| Microsoft.SecurityInsights/dataConnectorsCheckRequirements/action | Verificar a autorização e licença do usuário |
| Microsoft.SecurityInsights/threatIntelligence/indicators/query/action | Consultar indicadores de inteligência de ameaças |
| Microsoft.SecurityInsights/threatIntelligence/queryIndicators/action | Consultar indicadores de inteligência de ameaças |
| Microsoft.OperationalInsights/workspaces/analytics/query/action | Pesquise usando um novo mecanismo. |
| Microsoft.OperationalInsights/workspaces/*/read | Exibir dados de análise de log |
| Microsoft.OperationalInsights/workspaces/LinkedServices/read | Obtenha serviços vinculados em um determinado espaço de trabalho. |
| Microsoft.OperationalInsights/workspaces/savedSearches/read | Obtém uma consulta de pesquisa salva. |
| Microsoft.OperationsManagement/solutions/read | Obtenha a solução OMS existente |
| Microsoft.OperationalInsights/workspaces/query/read | Executar consultas sobre os dados no espaço de trabalho |
| Microsoft.OperationalInsights/workspaces/query/*/read | |
| Microsoft.OperationalInsights/querypacks/*/read | |
| Microsoft.OperationalInsights/workspaces/dataSources/read | Obtenha a fonte de dados em um espaço de trabalho. |
| Microsoft.Insights/pastas de trabalho/leitura | Ler um livro |
| Microsoft.Insights/myworkbooks/read | |
| Microsoft.Authorization/*/read | Ler funções e atribuições de funções |
| Microsoft.Insights/alertRules/* | Criar e gerenciar um alerta de métrica clássica |
| Microsoft.Recursos/implantações/* | Criar e gerenciar uma implantação |
| Microsoft.Resources/subscriptions/resourceGroups/read | Obtém ou lista grupos de recursos. |
| Microsoft.Resources/templateSpecs/*/read | Obter ou listar especificações de modelo e versões de especificações de modelo |
| Microsoft.Suporte/* | Criar e atualizar um ticket de suporte |
| NotActions | |
| Microsoft.SecurityInsights/ConfidentialWatchlists/* | |
| Microsoft.OperationalInsights/workspaces/query/ConfidentialWatchlist/* | |
| DataActions | |
| nenhum | |
| NotDataActions | |
| nenhum |
{
"assignableScopes": [
"/"
],
"description": "Microsoft Sentinel Reader",
"id": "/providers/Microsoft.Authorization/roleDefinitions/8d289c81-5878-46d4-8554-54e1e3d8b5cb",
"name": "8d289c81-5878-46d4-8554-54e1e3d8b5cb",
"permissions": [
{
"actions": [
"Microsoft.SecurityInsights/*/read",
"Microsoft.SecurityInsights/dataConnectorsCheckRequirements/action",
"Microsoft.SecurityInsights/threatIntelligence/indicators/query/action",
"Microsoft.SecurityInsights/threatIntelligence/queryIndicators/action",
"Microsoft.OperationalInsights/workspaces/analytics/query/action",
"Microsoft.OperationalInsights/workspaces/*/read",
"Microsoft.OperationalInsights/workspaces/LinkedServices/read",
"Microsoft.OperationalInsights/workspaces/savedSearches/read",
"Microsoft.OperationsManagement/solutions/read",
"Microsoft.OperationalInsights/workspaces/query/read",
"Microsoft.OperationalInsights/workspaces/query/*/read",
"Microsoft.OperationalInsights/querypacks/*/read",
"Microsoft.OperationalInsights/workspaces/dataSources/read",
"Microsoft.Insights/workbooks/read",
"Microsoft.Insights/myworkbooks/read",
"Microsoft.Authorization/*/read",
"Microsoft.Insights/alertRules/*",
"Microsoft.Resources/deployments/*",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Resources/templateSpecs/*/read",
"Microsoft.Support/*"
],
"notActions": [
"Microsoft.SecurityInsights/ConfidentialWatchlists/*",
"Microsoft.OperationalInsights/workspaces/query/ConfidentialWatchlist/*"
],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Microsoft Sentinel Reader",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Respondedor do Microsoft Sentinel
Respondedor do Microsoft Sentinel
| Ações | Description |
|---|---|
| Microsoft.SecurityInsights/*/read | |
| Microsoft.SecurityInsights/dataConnectorsCheckRequirements/action | Verificar a autorização e licença do usuário |
| Microsoft.SecurityInsights/automationRules/* | |
| Microsoft.SecurityInsights/casos/* | |
| Microsoft.SecurityInsights/incidentes/* | |
| Microsoft.SecurityInsights/entidades/runPlaybook/action | Executar playbook na entidade |
| Microsoft.SecurityInsights/threatIntelligence/indicators/appendTags/action | Anexar tags ao Indicador de Inteligência de Ameaças |
| Microsoft.SecurityInsights/threatIntelligence/indicators/query/action | Consultar indicadores de inteligência de ameaças |
| Microsoft.SecurityInsights/threatIntelligence/bulkTag/action | Bulk Tags Inteligência de Ameaças |
| Microsoft.SecurityInsights/threatIntelligence/indicators/appendTags/action | Anexar tags ao Indicador de Inteligência de Ameaças |
| Microsoft.SecurityInsights/threatIntelligence/indicators/replaceTags/action | Substitua as tags do indicador de inteligência de ameaças |
| Microsoft.SecurityInsights/threatIntelligence/queryIndicators/action | Consultar indicadores de inteligência de ameaças |
| Microsoft.SecurityInsights/businessApplicationAgents/systems/undoAction/action | Desfaz uma ação |
| Microsoft.OperationalInsights/workspaces/analytics/query/action | Pesquise usando um novo mecanismo. |
| Microsoft.OperationalInsights/workspaces/*/read | Exibir dados de análise de log |
| Microsoft.OperationalInsights/workspaces/dataSources/read | Obtenha a fonte de dados em um espaço de trabalho. |
| Microsoft.OperationalInsights/workspaces/savedSearches/read | Obtém uma consulta de pesquisa salva. |
| Microsoft.OperationsManagement/solutions/read | Obtenha a solução OMS existente |
| Microsoft.OperationalInsights/workspaces/query/read | Executar consultas sobre os dados no espaço de trabalho |
| Microsoft.OperationalInsights/workspaces/query/*/read | |
| Microsoft.OperationalInsights/workspaces/dataSources/read | Obtenha a fonte de dados em um espaço de trabalho. |
| Microsoft.OperationalInsights/querypacks/*/read | |
| Microsoft.Insights/pastas de trabalho/leitura | Ler um livro |
| Microsoft.Insights/myworkbooks/read | |
| Microsoft.Authorization/*/read | Ler funções e atribuições de funções |
| Microsoft.Insights/alertRules/* | Criar e gerenciar um alerta de métrica clássica |
| Microsoft.Recursos/implantações/* | Criar e gerenciar uma implantação |
| Microsoft.Resources/subscriptions/resourceGroups/read | Obtém ou lista grupos de recursos. |
| Microsoft.Suporte/* | Criar e atualizar um ticket de suporte |
| NotActions | |
| Microsoft.SecurityInsights/cases/*/Excluir | |
| Microsoft.SecurityInsights/incidentes/*/Excluir | |
| Microsoft.SecurityInsights/ConfidentialWatchlists/* | |
| Microsoft.OperationalInsights/workspaces/query/ConfidentialWatchlist/* | |
| DataActions | |
| nenhum | |
| NotDataActions | |
| nenhum |
{
"assignableScopes": [
"/"
],
"description": "Microsoft Sentinel Responder",
"id": "/providers/Microsoft.Authorization/roleDefinitions/3e150937-b8fe-4cfb-8069-0eaf05ecd056",
"name": "3e150937-b8fe-4cfb-8069-0eaf05ecd056",
"permissions": [
{
"actions": [
"Microsoft.SecurityInsights/*/read",
"Microsoft.SecurityInsights/dataConnectorsCheckRequirements/action",
"Microsoft.SecurityInsights/automationRules/*",
"Microsoft.SecurityInsights/cases/*",
"Microsoft.SecurityInsights/incidents/*",
"Microsoft.SecurityInsights/entities/runPlaybook/action",
"Microsoft.SecurityInsights/threatIntelligence/indicators/appendTags/action",
"Microsoft.SecurityInsights/threatIntelligence/indicators/query/action",
"Microsoft.SecurityInsights/threatIntelligence/bulkTag/action",
"Microsoft.SecurityInsights/threatIntelligence/indicators/appendTags/action",
"Microsoft.SecurityInsights/threatIntelligence/indicators/replaceTags/action",
"Microsoft.SecurityInsights/threatIntelligence/queryIndicators/action",
"Microsoft.SecurityInsights/businessApplicationAgents/systems/undoAction/action",
"Microsoft.OperationalInsights/workspaces/analytics/query/action",
"Microsoft.OperationalInsights/workspaces/*/read",
"Microsoft.OperationalInsights/workspaces/dataSources/read",
"Microsoft.OperationalInsights/workspaces/savedSearches/read",
"Microsoft.OperationsManagement/solutions/read",
"Microsoft.OperationalInsights/workspaces/query/read",
"Microsoft.OperationalInsights/workspaces/query/*/read",
"Microsoft.OperationalInsights/workspaces/dataSources/read",
"Microsoft.OperationalInsights/querypacks/*/read",
"Microsoft.Insights/workbooks/read",
"Microsoft.Insights/myworkbooks/read",
"Microsoft.Authorization/*/read",
"Microsoft.Insights/alertRules/*",
"Microsoft.Resources/deployments/*",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Support/*"
],
"notActions": [
"Microsoft.SecurityInsights/cases/*/Delete",
"Microsoft.SecurityInsights/incidents/*/Delete",
"Microsoft.SecurityInsights/ConfidentialWatchlists/*",
"Microsoft.OperationalInsights/workspaces/query/ConfidentialWatchlist/*"
],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Microsoft Sentinel Responder",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Administrador de Segurança
Exiba e atualize as permissões do Microsoft Defender for Cloud. Mesmas permissões que a função Leitor de Segurança e também pode atualizar a política de segurança e descartar alertas e recomendações.
Para Microsoft Defender para IoT, consulte Funções de usuário do Azure para monitoramento de OT e Enterprise IoT.
| Ações | Descrição |
|---|---|
| Microsoft.Authorization/*/read | Ler funções e atribuições de funções |
| Microsoft.Autorização/policyAssignments/* | Criar e gerenciar atribuições de política |
| Microsoft.Authorization/policyDefinitions/* | Criar e gerenciar definições de política |
| Microsoft.Autorização/policyIsenções/* | Criar e gerenciar isenções de política |
| Microsoft.Authorization/policySetDefinitions/* | Criar e gerenciar conjuntos de políticas |
| Microsoft.Insights/alertRules/* | Criar e gerenciar um alerta de métrica clássica |
| Microsoft.Management/managementGroups/read | Listar grupos de gerenciamento para o usuário autenticado. |
| Microsoft.operationalInsights/workspaces/*/read | Exibir dados de análise de log |
| Microsoft.Recursos/implantações/* | Criar e gerenciar uma implantação |
| Microsoft.Resources/subscriptions/resourceGroups/read | Obtém ou lista grupos de recursos. |
| Microsoft.Segurança/* | Criar e gerenciar componentes e políticas de segurança |
| Microsoft.IoTSecurity/* | |
| Microsoft.IoTFirmwareDefense/* | |
| Microsoft.Suporte/* | Criar e atualizar um ticket de suporte |
| NotActions | |
| nenhum | |
| DataActions | |
| nenhum | |
| NotDataActions | |
| nenhum |
{
"assignableScopes": [
"/"
],
"description": "Security Admin Role",
"id": "/providers/Microsoft.Authorization/roleDefinitions/fb1c8493-542b-48eb-b624-b4c8fea62acd",
"name": "fb1c8493-542b-48eb-b624-b4c8fea62acd",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Authorization/policyAssignments/*",
"Microsoft.Authorization/policyDefinitions/*",
"Microsoft.Authorization/policyExemptions/*",
"Microsoft.Authorization/policySetDefinitions/*",
"Microsoft.Insights/alertRules/*",
"Microsoft.Management/managementGroups/read",
"Microsoft.operationalInsights/workspaces/*/read",
"Microsoft.Resources/deployments/*",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Security/*",
"Microsoft.IoTSecurity/*",
"Microsoft.IoTFirmwareDefense/*",
"Microsoft.Support/*"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Security Admin",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Contribuidor de Avaliação de Segurança
Permite enviar avaliações por push para o Microsoft Defender for Cloud
| Ações | Description |
|---|---|
| Microsoft.Security/avaliações/gravação | Criar ou atualizar avaliações de segurança na sua subscrição |
| NotActions | |
| nenhum | |
| DataActions | |
| nenhum | |
| NotDataActions | |
| nenhum |
{
"assignableScopes": [
"/"
],
"description": "Lets you push assessments to Security Center",
"id": "/providers/Microsoft.Authorization/roleDefinitions/612c2aa1-cb24-443b-ac28-3ab7272de6f5",
"name": "612c2aa1-cb24-443b-ac28-3ab7272de6f5",
"permissions": [
{
"actions": [
"Microsoft.Security/assessments/write"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Security Assessment Contributor",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Gerente de Segurança (Legado)
Este é um papel legado. Em vez disso, use o administrador de segurança.
| Ações | Descrição |
|---|---|
| Microsoft.Authorization/*/read | Ler funções e atribuições de funções |
| Microsoft.ClassicCompute/*/read | Ler informações de configuração de máquinas virtuais clássicas |
| Microsoft.ClassicCompute/virtualMachines/*/write | Configuração de gravação para máquinas virtuais clássicas |
| Microsoft.ClassicNetwork/*/read | Leia as informações de configuração sobre a rede clássica |
| Microsoft.Insights/alertRules/* | Criar e gerenciar um alerta de métrica clássica |
| Microsoft.ResourceHealth/availabilityStatuses/read | Obtém os status de disponibilidade para todos os recursos no escopo especificado |
| Microsoft.Recursos/implantações/* | Criar e gerenciar uma implantação |
| Microsoft.Resources/subscriptions/resourceGroups/read | Obtém ou lista grupos de recursos. |
| Microsoft.Segurança/* | Criar e gerenciar componentes e políticas de segurança |
| Microsoft.Suporte/* | Criar e atualizar um ticket de suporte |
| NotActions | |
| nenhum | |
| DataActions | |
| nenhum | |
| NotDataActions | |
| nenhum |
{
"assignableScopes": [
"/"
],
"description": "This is a legacy role. Please use Security Administrator instead",
"id": "/providers/Microsoft.Authorization/roleDefinitions/e3d13bf0-dd5a-482e-ba6b-9b8433878d10",
"name": "e3d13bf0-dd5a-482e-ba6b-9b8433878d10",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.ClassicCompute/*/read",
"Microsoft.ClassicCompute/virtualMachines/*/write",
"Microsoft.ClassicNetwork/*/read",
"Microsoft.Insights/alertRules/*",
"Microsoft.ResourceHealth/availabilityStatuses/read",
"Microsoft.Resources/deployments/*",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Security/*",
"Microsoft.Support/*"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Security Manager (Legacy)",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}
Leitor de Segurança
Exiba permissões para o Microsoft Defender for Cloud. Pode exibir recomendações, alertas, uma diretiva de segurança e estados de segurança, mas não pode fazer alterações.
Para Microsoft Defender para IoT, consulte Funções de usuário do Azure para monitoramento de OT e Enterprise IoT.
| Ações | Descrição |
|---|---|
| Microsoft.Authorization/*/read | Ler funções e atribuições de funções |
| Microsoft.Insights/alertRules/read | Ler um alerta de métrica clássica |
| Microsoft.operationalInsights/workspaces/*/read | Exibir dados de análise de log |
| Microsoft.Resources/deployments/*/read | |
| Microsoft.Resources/subscriptions/resourceGroups/read | Obtém ou lista grupos de recursos. |
| Microsoft.Security/*/read | Ler componentes e políticas de segurança |
| Microsoft.IoTSecurity/*/read | |
| Microsoft.Support/*/read | |
| Microsoft.Security/iotDefenderSettings/packageDownloads/action | Obtém informações sobre pacotes do IoT Defender para download |
| Microsoft.Security/iotDefenderSettings/downloadManagerActivation/action | Arquivo de ativação do gerenciador de download com dados de cota de assinatura |
| Microsoft.Security/iotSensors/downloadResetPassword/action | Downloads redefinir arquivo de senha para sensores IoT |
| Microsoft.IoTSecurity/defenderSettings/packageDownloads/action | Obtém informações sobre pacotes do IoT Defender para download |
| Microsoft.IoTSecurity/defenderSettings/downloadManagerActivation/action | Arquivo de ativação do gerenciador de download |
| Microsoft.Management/managementGroups/read | Listar grupos de gerenciamento para o usuário autenticado. |
| NotActions | |
| nenhum | |
| DataActions | |
| nenhum | |
| NotDataActions | |
| nenhum |
{
"assignableScopes": [
"/"
],
"description": "Security Reader Role",
"id": "/providers/Microsoft.Authorization/roleDefinitions/39bc4728-0917-49c7-9d2c-d95423bc2eb4",
"name": "39bc4728-0917-49c7-9d2c-d95423bc2eb4",
"permissions": [
{
"actions": [
"Microsoft.Authorization/*/read",
"Microsoft.Insights/alertRules/read",
"Microsoft.operationalInsights/workspaces/*/read",
"Microsoft.Resources/deployments/*/read",
"Microsoft.Resources/subscriptions/resourceGroups/read",
"Microsoft.Security/*/read",
"Microsoft.IoTSecurity/*/read",
"Microsoft.Support/*/read",
"Microsoft.Security/iotDefenderSettings/packageDownloads/action",
"Microsoft.Security/iotDefenderSettings/downloadManagerActivation/action",
"Microsoft.Security/iotSensors/downloadResetPassword/action",
"Microsoft.IoTSecurity/defenderSettings/packageDownloads/action",
"Microsoft.IoTSecurity/defenderSettings/downloadManagerActivation/action",
"Microsoft.Management/managementGroups/read"
],
"notActions": [],
"dataActions": [],
"notDataActions": []
}
],
"roleName": "Security Reader",
"roleType": "BuiltInRole",
"type": "Microsoft.Authorization/roleDefinitions"
}